トピック
プレミアムバンダイのブランドを守れ! 「DMARC」技術で“なりすまし”対策を進めるBANDAI SPIRITS
TwoFiveの「DMARC / 25 Analyze」を採用
- 提供:
- 株式会社TwoFive
2020年3月3日 06:00
子供から大人までの幅広い世代に楽しまれている「ガンプラ」と呼ばれる「ガンダム」シリーズのプラモデルになじみの深い人も多いだろう。
こうしたガンプラや超合金シリーズなどは現在、株式会社BANDAI SPIRITS(バンダイスピリッツ)から発売されている。2018年に株式会社バンダイからハイターゲット向け事業を引き継いで設立された、バンダイナムコグループの企業だ。
BANDAI SPIRITSでは、バンダイ公式ECサイト「プレミアムバンダイ」も運営している。2009年に、当初は子供向けとしてオープンし、現在では限定品の販売などに力を入れ、「子供から大人まで24時間楽しめる」をモットーとしている。
プレミアムバンダイでは、なりすましメール対策として、株式会社TwoFiveの「DMARC / 25 Analyze」を導入した。「DMARC」は、メールを送信するドメインのDNSに設定を記述しておくことで、受信側でSPFやDKIMといった送信ドメイン認証に失敗した(なりすましが疑われる)メールについて、そのドメイン側にレポートを送る仕組みである。DMARC / 25 Analyzeは、このDMARCのレポートを可視化し解析するクラウドサービスだ。
また、TwoFiveが所有する脅威データベースに基づき、本物のドメインを人間が誤認しやすく模倣した類似ドメイン詐称を検知して通知する機能も備えている。
プレミアムバンダイでDMARC / 25 Analyzeを導入した理由や、その効果について、BANDAI SPIRITSのネット戦略室 ECプラットフォームチームの大橋功氏(アシスタントマネージャー)と武井一将氏(チーフ)に話を聞いた。
なりすましを含め、メール送信について見えなかったことが課題
――DMARC / 25 Analyzeの導入に至った、背景や課題について教えてください。
大橋氏: 昨今、世の中にセキュリティインシデントが増えています。特にECサイトの立場でいうと、なりすましメールの危険性を感じていました。われわれになりすましたメールによって、ECサイトのお客さまに損害を与えてしまうのは一番問題ですので、対策できないかということで検討しました。
武井氏: なりすましを防ぐというのに加えて、なりすましがないかどうか見えないというのも問題でした。たまにお客さまから、「こういうメールが来たんですが、本当に御社のメールですか」と問い合わせをいただくことがあります。その際、いままででは注文履歴やメルマガ(メールマガジン)の送信時間などを照合して、本当に送ったかどうかを確認していたため、時間や工数がかかっていました。
このように、申告ベースで時間をかけてしか見えなかったものを、数値ベースで見られるようにしたいという気持ちがありました。入れて安心するだけでなく、導入後の効果や判定結果などを集計するところまで含めて検討しました。
――実際になりすましの被害などに遭っていたのでしょうか。
大橋氏: 一番大きい課題は、メール送信についてわれわれが見えていなかったことだと思っています。お客さまにちゃんと届いているのか、なりすましされていないかということが、お客さまからの問い合わせがあって初めて見える状態でした。
また、さまざまなセキュリティ対策製品を導入していましたが、なりすましメールの被害が拡大する中で、なりすまし対策をどうするかが見えていませんでした。
――世のECサイト全般で、なりすましメールが問題になっているのでしょうか。
武井氏: 感覚的には、問題になっていると思います。自分がユーザーとしてECサイトを使っていて「このようななりすましメールが出回っているので、クリックしないでください」という連絡をもらうことがあります。ひとごとではないと思っています。
――プレミアムバンダイで送信するメールはどのぐらいの規模でしょうか。
大橋氏: メルマガが月に2000万通です。そのほか注文などの自動配信メールが、月に1億弱、数千万通ほどあります。そのほか認証確認のメールなどもあります。
メールの送信状況を可視化、設定の不備も検出
――DMARCはまだ知名度が高くありませんが、どのようなところからDMARCとDMARC / 25 Analyzeの導入に至ったのでしょうか。
大橋氏: 最初はSPFやDKIMなどを導入した中で、さらにDMARCという技術を知り、SIerなどからDMARC / 25 Analyzeの情報をもらって導入しました。
武井氏: DMARC / 25 AnalyzeはDMARCレポートの解析では有名でしたし、トライアル導入してみて、当社にフィットしていると判断して導入しました。
トライアルを2018年の夏ごろに開始し、正式に導入したのが2019年1月です。本番環境に入れて、3カ月ぐらい検証しました。
大橋氏: その際のポリシーについては、なによりメールの到達率を下げないことを最重視して、TwoFiveやSIerと相談の上で設定しました。
――トライアルや本番導入での印象は。
武井氏: 管理画面がグラフィカルでわかりやすいのが好印象でした。そのほか、さまざまな機能についてTwoFiveから教えてもらいました。
まず現れた効果として、プレミアムバンダイのドメインを利用して外部ASPサービスからメールを送信をしていたのですが、設定に不備があったことがわかりましたので、早速そこを改善しました。
なりすましの面では、まず導入当初に正しいメールの率が99.21%でした。ASPサービスの不備を是正して99.47%になりました。ほとんどなりすましはありませんが、その数字を可視化できたことが最大の成果です。
武井氏:具体的ななりすまし被害というのはなかったのですが、当社のオペレーションミスによって、お客さまから「なりすましでしょうか?」と質問を受け、DMARC / 25 Analyzeで確認したことが1件ありました。
これまでは人力でログから確認したり、お客さまにヒアリングしたりする必要があったため、工数と時間がかかっていたのが、DMARC /25 Analyzeによってすぐに確認できるようになりました。
――導入について会社の理解はすんなり得られましたか。
大橋氏: はい。個人情報やセキュリティ、消費者保護などの問題について、経営層もよく耳にして意識していたので、問題はありませんでした。
――担当者の人数は。
武井氏: システム担当が数名で、それにプラスしてパートナーのSIerがいます。
大橋氏: このメンバーで、グローバルにわたるECサイトである「プレミアムバンダイ」の運営や、ID基盤、コーポレートサイトの開発など、ネットにかかわることを担当しています。そのため、パートナーのSIerが大きな役割を果たしています。
DMARC /25 Analyzeについても、パートナーがレポート画面を見て、われわれはそこからレポートを受けて行動しています。パートナーとは隔週でミーティングしているほか、TwoFiveもまじえて四半期に1回ミーティングしています。
海外に力を入れるためになりすまし対策を強化
――今後、なりすましメールなどの対策はどうしていくでしょうか。
武井氏: プレミアムバンダイではいま、海外に力を入れていますので、これから、なりすましメールなども増えることが考えられます。すでに、名前の類似したドメインが取得されている動きは観測しています。そうした類似ドメインの取得も、DMARC /25 Analyzeの機能とパートナーとの連携で検知していきます。
大橋氏: 攻撃者も日々進化しています。それを防ぐ対策をしていくために、常に最新のセキュリティ対策を続けていきます。
武井氏: 例えばメールについては、送信ドメイン認証に合格したメールに送信者のロゴを表示するBIMI(Brand Indicators for Message Identification)といった新しい規格も生まれてきています。そうした安全安心のための新技術についても関心をもちつつ、お客さまを混乱させないよう普及状況を見ながら検討していきたいと思います。
――最後にメッセージを。
大橋氏: プレミアムバンダイは予算をかけていろいろ対策をしています。個人情報流失など起こさないように、今後も取り組んでいきます。
